隨着汽車的自動駕駛（ADAS）級別從L2升級到L2+和L3，並且逐步向全自動駕駛L4和L5奮進。隨着自動緊急制動、車道保持輔助、交通標志識別、環繞視圖、疲勞監測等新應用和新功能不斷引入，車輛和駕乘人員的安全性得到了進一步提升。在這一變化中，新的汽車應用不僅要求半導體SoC具備更多的功能、更大的帶寬和更低的功耗，還要求整個汽車的硬件、軟件供應鏈，包括不斷發展的電子/電氣（E/E）系統中所使用的復雜的SoC，均必須滿足ISO 26262車輛功能安全標准。

  +

+

汽車產品需嚴格遵守一定的开發流程

下圖1是廣泛應用於汽車行業的標准V模型產品开發流程。所有汽車產品均應參照紫色部分的流程進行开發。對於安全關鍵型產品，ISO 26262規定，需要以綠色所示的額外开發步驟來補充標准的定義、實施和驗證/確認活動。

圖 1：汽車產品开發模型

那么，應該如何提升大家對於安全關鍵型產品开發的重視呢？

在企業中建立定義和踐行安全關鍵型產品开發的安全文化，包括任命一名獨立的功能安全（FuSa）組織經理，該經理對產品开發團隊具有獨立權限。安全監督和开發活動包括所記錄的定義和對安全計劃的遵守以及安全要求的定義/文件。安全計劃和安全規範包括功能硬件/軟件安全機制，如 ECC、奇偶校驗、雙核互鎖機制和其他功能。這些機制由設計團隊按照安全概念規範中的要求實施。將硬件/軟件安全機制設計到安全關鍵型SoC的汽車IP產品中，需要對IP產品進行評估和驗證，實現ADAS功能的最新SoC處理器採用的汽車級IP必須符合特定 ISO 26262 汽車安全完整性等級 (ASIL)，並符合安全關鍵型SoC的ISO 26262功能安全开發流程。

對於半導體SoC和構成這些SoC的IP產品而言，在產品設計中就引入安全機制是很重要的一環。硬件/軟件指標用於確定安全機制對於識別和糾正IP中可能故障的影響。通過在SoC开發流程的驗證和確認階段對這些指標予以分析，並要求評估、模擬和故障注入，以確定產品是否符合安全要求規範中設定的目標ASIL等級。

爲了完全符合 ISO 26262:2018標准，需要進行隨機故障分析。其中，ASIL隨機故障分析是一項評估，它重點關注 ISO 26262:2018安全標准第5部分第8條（硬件級別的產品开發）。在此評估期間，僅對安全關鍵型IP產品進行硬件安全分析。設計和評估所得出的可交付成果/工作成果包括失效模式、效應和診斷分析 (FMEDA) 以及安全手冊。作爲隨機故障分析的一部分，ISO 26262定義了單點故障指標 (SPFM) 和潛在故障指標 (LFM) 比率的關鍵結果，以滿足特定的ASIL等級。ASIL等級從ASIL A到ASIL D共分4個等級，ASIL D代表層級最高的完整性要求。

在以達到這些指標爲目的的設計中，涉及到設計失效模式與效應分析 (DFMEA)。DFMEA 是一種定性分析，可捕獲設計中的失效模式及其對IP級別元素的影響。

  +

+

實現ASIL D安全該如何做？

除了硬件/軟件安全开發（包括針對這些硬件/軟件安全機制隨機故障的功能安全評估），汽車行業最佳方式還要求對所有安全關鍵型產品的系統开發流程進行安全評估。系統开發流程涉及產品的所有开發階段，例如規劃階段、开發階段、驗證/確認階段、評估和產品發布以及持續維護和產品監控。在以上各個階段中，安全關鍵型產品的开發需要FuSa安全管理團隊和產品开發團隊執行多個步驟和審查（包括持續監控），以確保遵循ISO 26262 系統开發流程（圖 2）。

圖 2：ISO 26262 ASIL D系統开發流程

雖然ISO 26262標准中已經定義了圖2中展示的 ISO 26262 FuSa 系統开發流程，而且該流程是整個產品合規性中不可或缺的一部分，但开發團隊可以決定是僅遵循ASIL隨機硬件/軟件故障評估，還是同時遵循ASIL隨機硬件/軟件故障和ASIL D系統故障評估。但是，針對ASIL D系統安全等級進行ASIL系統故障評估是行業普遍最認可的做法。

對於同時遵循ASIL隨機硬件/軟件故障和ASIL D系統故障評估的產品，开發團隊需要確保开發的所有方面都經過嚴格的程序，並具有多重制衡。這些程序包括多次審核和批准流程迭代，隨後進行內部審計和可選的第三方獨立檢查/審計。不僅需要執行並記錄審核和批准，還必須記錄並證明審核和批准已經發生。爲確保執行、記錄和審核所有步驟，必須制定汽車行業最先進的質量管理體系 (QMS)，以跟蹤和證明开發已執行。QMS系統包括從要求設置直至執行和確認的完整要求跟蹤。

在ASIL D系統开發流程中，第一步是規劃階段，包括所定義和跟蹤產品的每個工作成果。开發階段將需要完成大多數工作成果/可交付成果。但是，在驗證/確認階段以及評估和產品發布階段會生成多個工作成果。在每個开發階段，在QMS系統中創建和獨立跟蹤確認審核報告、功能安全審計報告和功能安全評估報告。圖2所示的ASIL D系統开發流程通常可產生80多種安全工作成果/可交付成果。

  +

+

IP供應商向ASIL D邁進

爲了讓芯片供應商大幅縮減花費在設計、認證和發布安全攸關ADAS /自動駕駛車SoC所需的時間，IP供應商們希望能夠以預先建立且經驗證的處理器IP授權的方式，協助他們更快地進入市場。

在這方面，新思科技的汽車級IP採用符合ISO 26262功能安全要求的ASIL D系統开放流程予以實現，隨機硬件故障安全等級可達到ASIL B和ASIL D，幫助設計人員加速其ISO 26262 SoC級功能安全評估，從而實現目標ASIL等級。

除了定義和遵守符合FuSa要求的ASIL D系統开發流程外，獨立地確認ASIL D系統开發流程也很重要。爲確保新思科技定義的ISO 26262 FuSa 开發流程符合 ISO 26262 標准，新思科技利用SGS TUV Saar來評估此开發流程。如圖3中的證書所示，新思科技制定的通用开發流程已符合行業標准。

圖 3：SGS TUV Saar 證書（表明新思科技通用流程符合 ISO 26262:2018 標准）

新思科技對汽車IP行業的重視，還體現在接口方面的支持。他們最近升級了PCI Express控制器IP、MIPI CSI-2主機和設備控制器IP和 新思科技 10Gb以太網控制器 IP，支持完全ASIL隨機和ASIL D系統合規性。新思科技也是首家爲這些任務關鍵型接口協議提供完全ISO 26262合規性的IP供應商，這些協議廣泛用於L3、L4和L5自動駕駛汽車的ADAS域模塊、分區 ECU和中央計算處理。

汽車級接口IP可與現有的 ARC處理器相輔相成，共同加速新汽車平台架構的安全關鍵型SoC設計。這些都將爲不斷發展的E/E架構車輛設計安全的SoC保駕護航。

  +

+

結語

對於汽車芯片供應商而言，要認證ASIL D不是一件容易的事，尤其是一些的復雜的汽車SoC。如新思科技這樣的IP廠商，從底層IP开始實現ASIL D的支持，無論是新思科技的汽車級接口IP，還是處理器IP，兩者均可提供最高水平的安全性。這也將爲芯片供應商大幅縮減花費在設計、認證和發布安全攸關ADAS /自動駕駛車SoC所需的時間。

今天是《半導體行業觀察》爲您分享的第3215內容，歡迎關注。

本文作者可以追加內容哦 !